Temesis Pôle d'expertise au service des professionnels du Web

L'accompagnement qualité Web et accessibilité.

Accueil > Ressources > Articles > La signature électronique : série d’articles d’Anabelle Matigot > Le décret n°2002-535 du 18 avril 2002 : La signature électronique voit ses modalités précisées

La signature électronique : série d’articles d’Anabelle Matigot

Le décret n°2002-535 du 18 avril 2002 : La signature électronique voit ses modalités précisées

Auteur(s) : Anabelle Matigot

Publié le : 29 novembre 2007

Résumé :

Suite aux articles décrivant le procédé de la signature électronique, voici un éclairage sur le décret du 18 avril 2002 afin d’en décoder les subtilités juridiques.

 Préambule

Décidément le printemps réussit à la signature électronique !

Le décret du mars 2001 promettait des arrêtés ministériels attendus avec impatience et c’est un décret qui vient préciser les procédures qui vont permettre à la signature électronique de gagner l’effectivité.

Ce nouveau décret n°2002-535 du 18 avril 2002 a été publié au Journal officiel le 19 avril 2002.

Il a pour objet "l’évaluation et la certification de la sécurité offerte par les produits et les systèmes des nouvelles technologies" (art.1).

Ce texte vient rassurer les acteurs et affiner les processus technique et juridique.

Il reste toutefois encore aujourd’hui des zones d’ombre qui seront très certainement éclairées d’ici peu, notamment en ce qui concerne les arrêtés du Ministre de l’industrie relatifs à l’accréditation et à l’évaluation nécessaires à la qualification des certificats.

Le présent texte énonce les principes et processus de la certification et de l’évaluation que doivent connaître les prestataires de signature électronique, mais force est de constater que le nouveau décret fait état d’une sémantique approximative, source potentielle de difficulté pour un sujet déjà fort complexe.

Le but de cet article est d’essayer de donner au lecteur une grille de lecture du nouveau décret et ce, au regard des textes précédents : le décret n° 2001-272 du 30 mars 2001 et la loi n°2000-230 du 13 mars 2000, tous deux relatifs à la signature électronique.

 Une sémantique "artistique"

Pour commencer faisons simple : le titre du décret.

Comment deviner qu’il s’agit de la signature électronique alors que cela ne figure même pas dans l’intitulé du texte !

Le décret du 18 avril 2002 est en effet "relatif à l’évaluation et à la certification de la sécurité des produits et systèmes des technologies de l’information".

Les précédents textes avaient le mérite de faire directement état du sujet et permettait ainsi au lecteur de connaître l’étendue de l’application du texte. Ce n’est qu’à la lecture des visas que l’on peut avoir la certitude que le décret en question vient compléter celui du 30 mars 2001.

Mais souvenons-nous que nul n’est sensé ignorer la loi, quand bien même, il ne saurait la lire ;o).

Pour ce qui est du vocabulaire, aucune précision, par exemple, n’est donnée sur le terme "commanditaire", qui il peut être ou qui il ne peut pas être.

Concernant les mots tels que "évaluation" ou "certification", il aurait été souhaitable de signaler un risque de confusion avec la procédure d’accréditation et d’évaluation qui précéderaient la qualification d’un certificat.

Rappelons que ces procédures ne sont pas précisées par le présent décret et que le texte du 30 mars 2001 prévoit à ce sujet un arrêté du Ministre de l’industrie qui désigne l’instance d’accréditation et détermine la procédure d’évaluation.

Pour faire simple, disons que pour ce qui est des dispositifs de création et de vérification de signature électronique, le décret du 18 avril 2002 donne les conditions d’évaluation et de certification. En ce qui concerne la qualification des certificats, les conditions d’accréditation et d’évaluation ne sont pas encore établies, sauf que l’organisme qui effectuera les contrôles de conformité à l’article 6 (du décret du 30 mars 2001) est la Direction Centrale de la Sécurité des Systèmes d’Information : la DCSSI (cf. infra).

Le législateur aurait pu se payer le luxe de quelques précisions....

Ces approximations de vocabulaire contribuent à obscurcir un sujet techniquement complexe et sont donc regrettables.

 Un organe essentiel : la Direction Centrale de la Sécurité des Systèmes d’information (DCSSI)

Présentation de la Direction centrale de la sécurité des systèmes d’information

Les informations qui suivent sont tirées du site de la DCSSI : www.ssi.gouv.fr

Héritière du Service central de la sécurité des systèmes d’information, la Direction centrale de la sécurité des systèmes d’information (DCSSI) a été instituée par décret le 31 juillet 2001. Elle est placée sous l’autorité du Secrétaire général de la défense nationale.

La DCSSI a pour mission de :

Le rôle de la DCSSI en matière de signature électronique

A la lecture du décret, on constate que la DCSSI va jouer le rôle central dans la certification obligatoire des prestataires de signature électronique. Ceux-ci n’ont d’ailleurs toujours pas vu leurs différentes responsabilités délimitées, dans la mesure où c’est la loi sur la société de l’information, encore en chantier, qui devrait en traiter (voir à ce sujet l’article "Le point sur la responsabilité des prestataires de services de certification" par Isabelle Renard et Isabelle Védrines du cabinet August & Debouzy, publié sur le site www.legalbiznext.com).

La DCSSI va donc avoir deux rôles essentiels : l’agrément des centres d’évaluation et le refus ou l’acceptation de la certification d’un produit ou d’un système. Mais, outre ces aspects nationaux, elle pourra passer des accords de reconnaissance mutuelle avec les organismes étrangers à l’Union Européenne. Elle aura le pouvoir déclare valables les certificats délivrés par les organismes étrangers. La procédure prévoit préalablement l’avis du comité certificateur.

En ce qui concerne les pays membres de l’Union, c’est le Premier ministre qui reconnaît aux certificats délivrés la même valeur que les certificats français délivrés conformément aux décrets.

La DCSSI assure également le secrétariat du comité certificateur et lui fait annuellement rapport de son activité.

Les perspectives de la DCSSI

Face aux besoins croissants exprimés par les différents ministères, la DCSSI a entrepris de se doter d’une expertise dans le domaine des attaques informatiques. Dès à présent, la DCSSI peut faire des démonstrations d’attaques réelles visant à sensibiliser responsables et utilisateurs à la réalité du risque et à l’urgence de la situation : aujourd’hui, l’utilisation du réseau Internet présente des dangers considérables pouvant aller jusqu’à la perte de contrôle de réseaux entiers.

Le développement d’outils d’attaque maîtrisés permettra dans un deuxième temps de procéder à des audits de sites Internet ou Intranet conduisant à des diagnostics rapides et une amélioration sensible et immédiate du niveau de sécurité des systèmes d’information gouvernementaux. Ce sera l’une des tâches de la future direction.

 La procédure d’évaluation prévue par le nouveau décret

Qu’est-ce que l’évaluation prévue à l’article 2 ?

Le décret du 30 mars 2001 (article 3, II, 1°) prévoit que qu’un dispositif de sécurisé de création de signature électronique DOIT être certifié conforme aux exigences I et II (c’est-à-dire, garantir les données de création de signature électronique et n’entraîner aucune altération du contenu de l’acte à signer). L’article poursuit en énonçant que cette certification doit se faire soit par les services du 1er Ministre, après une évaluation réalisée, selon les règles définies par arrêté du 1er Ministre, par des organismes agrées par ses services.

C’est le décret du 18 avril qui donne les conditions désormais applicables à cette évaluation.

De même, l’article 5 du décret du 30 mars 2001 énonce qu’un dispositif de vérification de signature électronique PEUT faire, après évaluation, l’objet d’une certification, selon les procédures définies(...) aujourd’hui par le décret du 18 avril 2002.

Notons ici que la certification et l’évaluation qui la précède sont OBLIGATOIRES lorsqu’il s’agit des dispositifs de création de signature électronique et FACULTATIFS pour les dispositifs de vérification.

Cette précision nous paraît importante dans la mesure où le décret n°2002-535 dispose dans son introduction que la sécurité offerte, par des produits et des systèmes des technologies de l’information (...), peut être certifiée dans les conditions prévues au présent décret.

Il ne s’agit pas d’une contradiction mais plutôt d’un manque de précision, le nouveau décret devant être lu au regard du précédent.

Concrètement, l’évaluation va permettre au centre qui va l’effectuer de connaître le niveau de sécurité d’un produit ou d’un système (d’un procédé de signature électronique). Cette évaluation a pour objectif d’une part la délivrance ou non d’une certification attestant de la compétence et de l’impartialité de l’évaluation, et d’autre part, la conformité du produit ou du système évalué aux caractéristiques de sécurité spécifiées.

Lesdites caractéristiques sont énoncées à l’article 3 du décret du 30 mars 2001 :

Comment va se dérouler concrètement une évaluation ?

Le commanditaire qui souhaite faire certifier le système ou le produit en question adresse un dossier d’évaluation à la DCSSI : la Direction de la Sécurité des Systèmes d’Information (voir infra).

En effet c’est cette structure des services du 1er Ministre qui a finalement été choisie pour effectuer ce contrôle et cette certification.

A la réception du dossier, la DCSSI notifie au commanditaire si ses objectifs de sécurité sont pertinents, auquel cas l’évaluation peut avoir lieu. Dans le cas contraire, elle notifie son refus de procéder à la certification.

Après ou parallèlement à ces démarches (rien n’est précisé dans le texte), le commanditaire choisit un ou plusieurs centres d’évaluation. Les délais et les coûts de l’évaluation sont fixés contractuellement entre le centre et le commanditaire.

"Le commanditaire peut décider à tout moment de mettre fin à une évaluation" énonce l’article 4 du décret. "Il est décidé entre les parties du dédommagement éventuellement dû au centre d’évaluation".

Durant tout le processus d’évaluation, la DCSSI peut avoir accès à tous les éléments nécessaires au bon déroulement de l’évaluation, demander à assister aux travaux ou obtenir des informations sur leur déroulement.

Chaque centre remet ensuite rapport d’évaluation au commanditaire et à la DCSSI. Ce document est confidentiel : les informations qu’il contient sont couvertes par le secret industriel et commercial (art.6).

L’agrément des centres d’évaluation

Les centres doivent être agrées par la DCSSI pour pouvoir exercer l’activité d’évaluation. Le chapitre II du décret décrit quelles conditions ils doivent remplir pour obtenir cet agrément.

Cet agrément est délivré par le 1er Ministre, après avis du comité certificateur.

La procédure est simple : il faut formuler une demande d’agrément auprès de la DCSSI. Elle doit préciser dans quel domaine l’organisme souhaite exercer.

Le candidat à l’agrément doit prouver :

1) sa conformité aux critères de qualité selon les normes d’accréditation en vigueur

2) son aptitude à appliquer les critères d’évaluation en vigueur et la méthodologie correspondante, ainsi qu’assurer la confidentialité requise par l’évaluation

Le respect de ces deux exigences peut être attesté par une accréditation du COFRAC (article R.115-6) ou par une instance étrangère équivalente.

3) sa compétence technique à conduire une évaluation

Cette compétence est directement appréciée par la DCSSI, au regard des moyens, ressources et expérience du centre d’évaluation. Le refus d’agrément n’est pas mentionné, on sait donc pas s’il devra être ou non motivé.

Si ces trois exigences sont remplies, l’agrément est délivré pour deux ans, au cours desquels la DCSSI peut contrôler la conformité des centres d’évaluation. Aucune information n’est donnée sur les moyens que mettra en oeuvre la DCSSI pour effectuer de tels contrôles.

Enfin, le retrait d’agrément (en cas de non-respect des exigences précitées ou de manquement aux obligations fixées dans l’agrément) exige l’avis préalable du comité certificateur mais il semble que cet avis soit seulement consultatif et qu’il ne lie donc pas le 1er Ministre.

Toutefois, la réunion du comité certificateur permet le respect du contradictoire en autorisant le représentant du centre en question de présenter ses observations devant lui.

Une fois l’évaluation effectuée, il s’agit de procéder à la certification du système ou du produit.

Les agréments délivrés par les pays tiers pourront être reconnus valables en France pour une durée de deux ans par le 1er ministre, après avis du comité certificateur.

En ce qui concerne les pays membres de l’Union, les agréments peuvent aussi être reconnus sans limitation dans le temps.

 La procédure de certification

Le commanditaire et la DCSSI valident ensemble les rapports d’évaluation, "en liaison avec le ou les centre(s) d’évaluation intervenants". Aucune information n’est donnée sur la forme et la procédure de validation.

Une fois tous les rapports validés, la DCSSI élabore un rapport de certification dans le délai d’un mois, rapport qui conclut à la délivrance ou au refus de certification.

Le commanditaire décide du caractère public ou non de ce rapport.

Le certificat est délivré par le 1er Ministre et atteste que "l’exemplaire du produit ou du système soumis à évaluation répond aux caractéristiques de sécurité spécifiées".

Il n’est nul part fait mention de l’éventualité d’un retrait du certificat et encore moins de la procédure à suivre dans un tel cas. Ceci est d’autant plus troublant que le décret fait état du retrait d’agrément mais pas du retrait de certification.

Autre point extrêmement ennuyeux : pour combien de temps ce certificat est-il délivré ?

Le texte est également muet sur ce point.

 Le comité certificateur

Les attributions du comité certificateur

Le décret de 2001 prévoyait que les services chargés de la certification devrait agir sous le contrôle d’un comité certificateur (art.4 du décret précité) qui serait mis en place par un arrêté du Premier ministre. Or, c’est le décret 2002 qui vient nous donner les attributions et la composition de ce comité.

Remarquons tout de même au passage que le rôle de contrôle prévu initialement a été occulté pour des attributions "consultatives".

En effet, le comité certificateur se voit attribuer trois missions :

Ajoutons à cela ce que nous avons évoqué précédemment : l’avis sur les accords de reconnaissance mutuelle pour les certificats délivrés par des organismes ressortissants de pays hors UE ainsi que l’avis sur la reconnaissance mutuelle des agréments des centres d’évaluation.

Les avis qu’il émet ne sont pas obligatoires, ne lient pas le 1er ministre, ni la DCSSI.

On est loin du "contrôle de la mise en oeuvre des procédures d’évaluation et de certification" (article 4 du décret du 31 mars 2001).

Qui compose ce comité ?

Le comité est présidé par le secrétaire général de la défense nationale.

Il est composé de 13 représentants des ministères. Lorsqu’il examine les dispositifs de création et de vérification de signature électronique, il est prévu que soient également présentes 12 personnalités qualifiées nommées pour trois ans par le Premier ministre.

 Des zones d’ombre propres au décret

Il reste encore beaucoup de chemin à faire mais ce nouveau décret nous éclaire un peu plus sur l’avenir de la signature électronique.

Toutefois, beaucoup de zones d’ombre persistent et des complications inutiles ont été créées.

Plusieurs questions doivent obtenir rapidement une réponse : les conditions et la procédure de retrait d’un certificat, la durée de vie d’une certification délivrée à un produit ou à un système de technologie de l’information, les conditions requises pour la qualité de commanditaire, ... etc.

A ce rythme là, un texte législatif ou réglementaire par an, espérons que dans quatre ou cinq la signature électronique verra toutes ses modalités enfin précisées ! Rendez-vous au printemps 2003 ! ! ;oD

Temesis - SAS au capital de 1000€ - 91 avenue de la République - 75011 Paris - France - +33 (0)1 70 95 70 70